В декабре 2025 года злоумышленники активизировали размещение вредоносных библиотек в открытых хранилищах кода. Число опасных пакетов в Python Package Index (PyPI) — основном каталоге для разработчиков на Python — за одиннадцать месяцев возросло на 54%, достигнув 514 единиц по сравнению с 333 в 2024 году. В результате программисты, неосознанно применяющие зараженные фрагменты, создают программные продукты, содержащие уязвимости.
Как сообщают «Ведомости», атаки на IT-разработчиков через общедоступные библиотеки кода учащаются. За указанный период в репозитории PyPI было обнаружено на 54% больше вредоносных пакетов.
По словам Дениса Кувшинова, руководителя департамента Threat Intelligence экспертного центра безопасности Positive Technologies, злоумышленники стали массово публиковать библиотеки с вредоносным кодом в открытых репозиториях. Количество опасных пакетов в PyPI, используемом Python-разработчиками, за 11 месяцев 2025 года увеличилось на 54% — с 333 до 514. Это ведет к тому, что специалисты, включая в свои проекты зараженный код, создают решения с критическими слабостями.
Эксперты компании Bi.Zone отмечают еще более серьезную тенденцию: согласно их информации, прирост числа «зараженных» пакетов составил свыше 150%. Используя такие библиотеки, программисты невольно внедряют уязвимости в свои продукты — от веб-сервисов до систем аналитики данных. Некоторые публичные репозитории, такие как Visual Studio Code Marketplace и Anaconda Packages, автоматически проводят проверку новых библиотек на потенциальные угрозы, поясняет Денис Кувшинов. PyPI и Node Package Manager (NPM) — ключевой репозиторий для JavaScript — не выполняют предварительной проверки перед публикацией, но позволяют сообществу кибербезопасности и энтузиастам сообщать о подозрительных библиотеках, уточняет специалист.
Вредоносная активность, нацеленная на публичные репозитории кода, обычно не привязана к конкретной стране и стремится охватить максимальное число жертв, подчеркивает Кувшинов. «Угроза, связанная с распространением вредоносных пакетов, затрагивает и российских IT-разработчиков, однако целенаправленного создания таких пакетов под определенную страну, отрасль или компанию мы не фиксировали», — отметил он.
Python — это высокоуровневый язык программирования, известный своей эффективностью, простотой и широкой областью применения. Он активно используется при создании веб-приложений и прикладного программного обеспечения, а также в машинном обучении и работе с большими данными. Благодаря понятному и интуитивному синтаксису он остается одним из самых популярных языков для обучения программированию.
Учитывая, что Python занимает лидирующие позиции среди языков программирования в глобальном масштабе, под угрозой оказывается обширный спектр корпоративных и пользовательских IT-систем. Согласно данным исследования Stack Overflow 2024, Python занимает порядка 25% в мировом индексе популярности языков программирования к 2025 году, а его применяли в работе 51% разработчиков по всему миру.
Руководитель Bi.Zone Threat Intelligence Олег Скулкин отметил увеличение доли автоматизированной публикации библиотек с использованием ботов и больших языковых моделей, что ускоряет генерацию значительных объемов вредоносного кода. Мошенники также прибегают к тайпсквоттингу — создают и размещают в открытых репозиториях библиотеки с названиями, сходными с легитимными, добавил он. Как сообщил руководитель направления сертификации Cloud.ru Сергей Барсуков, метод тайпсквоттинга фигурирует примерно в 70% всех кибератак с использованием вредоносных пакетов.
Основной целью злоумышленников по-прежнему остается хищение информации, с особым фокусом на криптовалютные активы, подтверждают Кувшинов и Скулкин: вредоносный код используется для мониторинга буфера обмена с целью подмены адресов кошельков. При этом как в PyPI, так и в NPM продолжают циркулировать стандартные стилеры, нацеленные на конфиденциальную информацию, отмечают эксперты, опрошенные «Ведомостями».
По словам Олега Скулкина, кибератаки через инфицированные пакеты представляют серьезную IT-угрозу в первую очередь для разработчиков, поскольку несут риск утечки конфиденциальных данных, компрометации ключей доступа и внедрения вредоносного кода уже на этапе сборки приложений. От подобных IT-инцидентов могут пострадать также коммерческие предприятия и государственные учреждения: применение зараженного пакета в процессе разработки IT-продукта ведет к компрометации всей организации. Кроме того, под угрозой оказываются программные цепочки поставок, где такие атаки способны спровоцировать утечки данных, существенные финансовые убытки и другие негативные последствия, подчеркнул специалист.
Согласно информации Bi.Zone Threat Detection and Response (TDR), злоумышленники применяют зараженные пакеты как для сложных целевых атак на конкретные компании, так и для массового распространения. В последнем случае жертвами могут стать любые организации или даже частные лица, использующие то или иное программное обеспечение, уточнил Олег Скулкин.
Как отметил Алексей Барсуков, корпоративные организации становятся главной мишенью для киберпреступников, применяющих вредоносные пакеты. Подобные инциденты в сфере информационных технологий способны вызвать утечку конфиденциальной деловой информации и данных клиентов, нарушить работу производственных IT-систем, привести к финансовому ущербу из-за остановок деятельности, нанести урон репутации и подорвать доверие потребителей. Эксперт по информационной безопасности отдельно выделил поставщиков облачных услуг: в случае успешной кибератаки злоумышленники получают доступ к их вычислительным мощностям, что позволяет незаконно создавать ботнеты, осуществлять DDoS-нападения или скрытно заниматься добычей криптовалюты, подытожил специалист.
